Es ist eine Gänsehaut erzeugende Zahl: Auf eine Trillion Dollar (eine Billiarde Euro) wird der Schaden geschätzt, der weltweit jährlich durch Cyberkriminalität entsteht. Immer wieder flammt diese Zahl mit Referenz auf eine McAfee-Studie auf und wird auch von mächtigen Leuten wie US-General Keith Alexander, Chef der nationalen Sicherheitsbehörde NSA, gern zitiert. Ebenso wie jene 250 Milliarden Dollar aus einer Symantec-Studie, die US-Unternehmen durch Diebstahl geistigen Eigentums jährlich verlieren.

Viele derartige Schätzungen, die vor einem erschreckenden Ausmaß an Internetgaunerei warnen, sind im Umlauf. Doch der Zweifel daran wächst - und reizte den Non-Profit-Newsdesk für investigativen Journalismus ProPublic der Sache einmal auf den Grund zu gehen. Eines der Ergebnisse: Der 250-Milliarden-Dollar-Verlust durch Cyberspionage und Urheberrechtsverletzungen wurden zwar in einem Report von Symantec erwähnt, stammen aber nicht von dem IT-Sicherheitsunternehmen. Die Quelle ist ein Rätsel.

"Viel, viel zu hoch"

Die Billiarden-Schätzung von Symantec-Konkurrent McAfee wiederum kommt selbst jenen unabhängigen Forscher fragwürdig vor, die McAfee als Autoren der Rohdaten nennt. "Viel, viel zu hoch", zitieren die ProPublic-Journalisten Peter Maass und Megha Rajagopalan Informatikprofesser Eugen Spafford von Purdue Universität. Spafford trug wesentliches Grundlagenmaterial zu dem 2009 erschienen McAfee Report "Unsecured Economies: Protecting Vital Information" bei.

Extrapolierte Zahl

Die Trillion tauchte erstmals in einer Presseankündigung für den Report auf. Im Bericht selbst ist sie nicht erhalten. Das Sicherheitsunternehmen rechtfertigte sich ProPublico gegenüber, man habe die Schätzung seinerzeit aus den vorliegenden Daten extrapoliert, um auf die im Cyberspace lauernden Gefahren hinzuweisen. In einem weiteren McAfee Sicherheitsreport von 2011 wird sie ProPublico zufolge erneut erwähnt.

Kaum jemand zweifele daran, dass Cyberkriminalität, Cyberspionage und Fälle von Cyberwar existierten, betonen Maass und Rajagopalan. Doch ihren Recherchen zufolge kann das genaue Ausmaß aufgrund mangelnder solider Daten nicht seriös kalkuliert werden. Eine Ansicht, die auch das kürzlich veröffentlichte Microsoft Research-Papier "Sex, Lies and Cybercrime Surveys" zum Ausdruck brachte.

Sich auf nicht verifizierbare Zahlen zu verlassen, berge auch die Gefahr, dass Staaten für Maßnahmen gegen Cybercrime Unsummen von Geld ausgeben, das anderswo gebraucht werden könnte, und dass die Beziehungen zu andren Ländern belaste. (Karin Tzschentke, DER STANDARD, 3.8.2012)